ADSL-BC

[psyko]

Tous les webmasters en herbe savent comment on protège un répertoire pourvu qu'ils lisent un minimum de documentation.

Malheureusement, beaucoup de webmasters qui ne maîtrisent pas la technique, et la sécurité n'en parlons pas.

Plus d'une fois j'ai vu des webmasters indiquer des répertoires dans le fichier robots.txt, en croyant que les robots seront ainsi bloqués. Au contraire, les robots sont libres d'ignorer cette directive. Pire encore, cela attire l'attention sur le contenu que vous ne voulez pas divulguer
Une des premières chose qu'un hacker fera, c'est consulter le fichier robots.txt.

Un .htaccess peut bloquer les bots mais pas robots.txt...

Et encore, .htaccess c'est sur un serveur Apache. Si vous déménagez vos sites vers un serveur nginx ou autre, les .htaccess seront inopérants. Mais tout le monde ne le sait pas...

Le truc le plus simple au monde et qui semble avoir été fait par la sncb; un fichier index.html vide ...

[clear.be]

En parlant de Apache, notre webmaster préféré de chez SNCB Europe n'a pas jugé utile de masquer la version de son serveur apache dans les reponses renvoyé par ce serveur... (deux simples lignes a rajouter dans la config, un jeu d'enfant, et le B-A BA en terme de configuration de serveur Apache...)

Nous avons donc : Apache/2.2.15 (Red Hat) Server at www.b-europe.com Port 80

Une simple recherche sur google : Apache 2.2.15 exploit

Et on trouve déjà des trucs intéressants...

Et donc, pour peu que le serveur n'ai pas été mis à jour au niveau des patchs de sécurité (ce qui est fort probable...) ils peuvent s'attendre à de nouvelles blagues...



Donc en gros, ils disent : "La SNCB travaille d’ores et déjà à mettre en place des barrières informatiques"

Et la marmotte... ?

[psyko]

En parlant de Apache, notre webmaster préféré de chez SNCB Europe n'a pas jugé utile de masquer la version de son serveur apache dans les reponses renvoyé par ce serveur... (deux simples lignes a rajouter dans la config, un jeu d'enfant, et le B-A BA en terme de configuration de serveur Apache...)

Nous avons donc : Apache/2.2.15 (Red Hat) Server at www.b-europe.com Port 80

Une simple recherche sur google : Apache 2.2.15 exploit

Et on trouve déjà des trucs intéressants...

Et donc, pour peu que le serveur n'ai pas été mis à jour au niveau des patchs de sécurité (ce qui est fort probable...) ils peuvent s'attendre à de nouvelles blagues...

Mais là ça sera la faut du vilain hackeur qui veux pirater le site

[clear.be]

En parlant de Apache, notre webmaster préféré de chez SNCB Europe n'a pas jugé utile de masquer la version de son serveur apache dans les reponses renvoyé par ce serveur... (deux simples lignes a rajouter dans la config, un jeu d'enfant, et le B-A BA en terme de configuration de serveur Apache...)

Nous avons donc : Apache/2.2.15 (Red Hat) Server at www.b-europe.com Port 80

Une simple recherche sur google : Apache 2.2.15 exploit

Et on trouve déjà des trucs intéressants...

Et donc, pour peu que le serveur n'ai pas été mis à jour au niveau des patchs de sécurité (ce qui est fort probable...) ils peuvent s'attendre à de nouvelles blagues...

Mais là ça sera la faut du vilain hackeur qui veux pirater le site

Cela n'en reste pas moins des erreurs basiques en terme de sécurité...

Vu leur exposition médiatique actuellement, je serais pas étonné que des script kiddies soient tentés de s'amuser un peu pour faire encore mousser un peu plus l'affaire !

En tout cas, je sais pas qui ils ont engagé pour gérer ce serveur, mais c'est une fameuses clinche...

[patrix]

Nous avons donc : Apache/2.2.15 (Red Hat) Server at www.b-europe.com Port 80

Une simple recherche sur google : Apache 2.2.15 exploit

Et on trouve déjà des trucs intéressants...

Et donc, pour peu que le serveur n'ai pas été mis à jour au niveau des patchs de sécurité (ce qui est fort probable...) ils peuvent s'attendre à de nouvelles blagues...

A priori, quand on achète RedHat, on prend le contrat de maintenance qui va avec, et qui inclut l'installation des patchs de sécurité, souvent en mode automatique. RedHat effectue des backports des patchs de sécurité. Donc la version affichée ne change pas, même si les patchs sont appliqués.

[clear.be]

Nous avons donc : Apache/2.2.15 (Red Hat) Server at www.b-europe.com Port 80

Une simple recherche sur google : Apache 2.2.15 exploit

Et on trouve déjà des trucs intéressants...

Et donc, pour peu que le serveur n'ai pas été mis à jour au niveau des patchs de sécurité (ce qui est fort probable...) ils peuvent s'attendre à de nouvelles blagues...

A priori, quand on achète RedHat, on prend le contrat de maintenance qui va avec, et qui inclut l'installation des patchs de sécurité, souvent en mode automatique. RedHat effectue des backports des patchs de sécurité. Donc la version affichée ne change pas, même si les patchs sont appliqués.

Bien sûr, mais encore faut-il que l'admin de ce serveur fasse le nécessaire pour le mettre a jour... et vu la compétence dont celui ci semble faire preuve, on peut se permettre d'en douter...

[patrix]

Depuis quand on donne comme destination aux dumps des répertoires public?

c'est vraiment une grosse erreur de débutant.

A mon avis les raisons:

1. Quand on veut exporter un dump de DB c'est en général plus facile d'exporter le fichier sur le même serveur. (moins de restrictions, pb de droits)
2. On veut faire vite
3. Les employés n'avaient probablement pas conscience que le contenu du répertoire était listé
4. Et surtout: le fichier n'était sans doute pas censé rester longtemps: juste qq minutes, le temps de la manip

Je crois à une explication comme ca. Le but était de mettre le fichier à disposition d'un contractant externe qui devait faire le e-mailing. Comme on envoie pas facilement 180Mb par e-mail, si on est pressé par le temps, c'était une "solution" que de le mettre dans un répertoire public, et de l'effacer par après. Ils ont oublié. Comme la personne qui gère la base de données n'est probablement pas la même que celle qui gère la configuration du serveur, il n'y a pas eu de sécurisation du fichier.

Dans l'article du Soir, la SNCB invoque l'erreur humaine. Personne n'a jamais supposé que c'était intentionnel. Il leur a fallu 3 semaines pour arriver à cette conclusion. Chapeau. Ca n'enlève rien à la responsabilité de la SNCB, qui devra aussi se poser des questions sur les compétences nécessaires pour effectuer certaines tâches, et former les travailleurs concernés à la sécurité des données.

[clear.be]

Le mauvais bouton :

[Seb4990]

Le mauvais bouton :

[solar10]

On vend vraiment du matos bizarre en Belgique, après les gsm qui appellent tout seul en tombant sous les tables, le bouton du mauvais moment...

[titinet]

On vend vraiment du matos bizarre en Belgique, après les gsm qui appellent tout seul en tombant sous les tables, le bouton du mauvais moment...

A notre époque, il n'est plus important de savoir cultiver une salade, il est important de savoir en raconter !

On voit cela partout... on a vu cela aussi avec d'autres problèmes.
Ca permet sans doute de dire : "tout va très bien, madame la marquise, tout va très bien, tout va très bien !"

------

Le 13 hr RTBF du 4 janvier

http://www.rtbf.be/video/detail_jt-13h?id=1788688

à partir de 3' 59"

[emilieninformatique]

On nous prend vraiment pour des imbéciles en nous racontant tout et n'importe quoi, avec la complicité de certains médias.

C'est un manque total de respect envers les citoyens, c'est une honte !
On est manipulé par de fausses informations...

Par exemple, la SNCB persiste à affirmer que le fichier n'a été exposé sur Internet que quelques heures et certains médias, qui savent pourtant que ce fichier est resté disponible quasi un mois, continuent à relayer ce mensonge.

Simplement écœurant...

[patrix]

http://www.lesoir.be/148826/article/act ... foi-%C2%BB

On y apprend que "Ils reconnaissent leur faute". On y apprend aussi que le fichier était en ligne depuis mai 2012.

La CPVP affirme que « Il est impossible de savoir combien de personnes ont eu accès au fichier ». Ils n'ont pas saisi les fichiers log ?

[fbX]

@patrix : tu comptes poursuivre toute personne qui a eu accès à cette liste ? envoie leur l'armée comme ça ils pourront en plus vérifier si ils ont pas eu accès au répertoire des HR de l'armée ....

[titinet]

C'est déjà un bon point qu'ils reconnaissent leur faute !

Au début, Megatroll ( et nous ) avions été traité de hackeur... !

Au vu du reportage de la rtbf, indirectement, des dizaines d'entreprises laisseraient ainsi traîner des "files" avec des données privés.

[emilieninformatique]

Le Soir ne faisait pas partie des "certains médias" que j'ai cités.
Les informations qu'ils ont fournies, même si elles étaient un peu tardives, étaient correctes et correspondaient parfaitement avec les éléments objectifs de preuve que nous avions pu réunir sur ce forum.
Donc, chapeau au journal Le Soir pour son objectivité, son analyse critique et son impartialité.

Par contre, j'ai TOTALEMENT perdu confiance en La Libre Belgique et la Dernière Heure.

[patrix]

Le Soir ne faisait pas partie des "certains médias" que j'ai cités.
Les informations qu'ils ont fournies, même si elles étaient un peu tardives, étaient correctes
Par contre, j'ai TOTALEMENT perdu confiance en La Libre Belgique et la Dernière Heure.

Il faut distinguer les sites Internet des journaux, qui reprennent souvent les dépêches Belga sans les analyser et les versions papier, qui contiennent un contenu écrit par les journalistes maison.
La palme de l'incompétence revient à Belga.

Cela dit, la DH est tout juste bonne à emballer les légumes au marché, comme Sudpresse et Vers l'Avenir.

[Djay]

En meme temps Belga c'est une agence de presse qui fournis des dépêches, du brut de décoffrage.
Elles n'ont pas vocation à toucher directement le public.

Il fut un temps où les bons journalistes prenaient soin de regrouper les différentes depeches de plusieurs agences de presse et d'en sortir un article.

Maintenant, ils ne prennent meme plus la peine de les lire et les publient directement ...

[GerhardS]

http://www.lesoir.be/148826/article/actualite/belgique/2013-01-04/sncbgate-%C2%AB-sncb-collabore-et-est-bonne-foi-%C2%BB

On y apprend que "Ils reconnaissent leur faute". On y apprend aussi que le fichier était en ligne depuis mai 2012.

La CPVP affirme que « Il est impossible de savoir combien de personnes ont eu accès au fichier ». Ils n'ont pas saisi les fichiers log ?

Un de mes anciens employeur ne loggait que les erreurs et pas les accès, car vu le traffic sur le site, ça aurait fait en moyenne 2Go de log/jour ...
Intenable selon lui..

Vu le niveau de compétence pour la SNCB, cela ne m'étonnerais en rien qu'on ai affaire à la même réflexion..

[Wank]

Le mauvais bouton :

Excellent! Tu devrais envoyer le dit bouton au journal qui publie cette ânerie.